Я успешно могу аутентифицировать учетные записи Facebook и Google, используя свои сервлеты Oauth2. Я использую состояние с таймером и файлом cookie сеанса, чтобы попытаться убедиться, что это действительно законный обратный вызов Oauth.
Есть ли какие-либо преимущества, если я также проверю заголовок HTTP Referer, чтобы убедиться, что меня перенаправили со страницы OAuth провайдера?
Если пользы нет, могут ли возникнуть проблемы, если я также проверю поле HTTP Referer?